Cisco Network part 60

Chia sẻ: Adasdsaeqd Asdasdasdaseq | Ngày: | Loại File: PDF | Số trang:4

0
28
lượt xem
3
download

Cisco Network part 60

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'cisco network part 60', công nghệ thông tin, quản trị mạng phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:
Lưu

Nội dung Text: Cisco Network part 60

  1. . · Interface command : interface hardware_id hardware_speed [shutdown] - hardware_id : chỉ ra interface và vị trí vật lí của nó trên pix . - hardware_speed : chỉ ra tốc độ kết nối . Sử dụng auto để pix tự động điều chỉnh tốc độ với thiết bị mà nó kết nối . Kiểm tra cấu hình bằng các lệnh show : Pix# sh static static (dmz,outside) 209.162.1.10 172.16.1.2 netmask 255.255.255.255 0 0 static (inside,outside) 209.162.1.9 10.10.10.10 netmask 255.255.255.255 0 0 static (inside,dmz) 172.16.1.5 10.10.10.10 netmask 255.255.255.255 0 0 Pix# sh nat nat (inside) 1 0.0.0.0 0.0.0.0 0 0 Pix# sh global global (outside) 1 209.162.1.30 Pix(config)# sh route outside 0.0.0.0 0.0.0.0 209.162.1.2 1 OTHER static inside 10.10.10.0 255.255.255.0 10.10.10.1 1 CONNECT static dmz 172.16.1.0 255.255.255.0 172.16.1.1 1 CONNECT static outside 209.162.1.0 255.255.255.0 209.162.1.1 1 CONNECT static ðMặc định trong bảng định tuyến của pix có các route là connect static . Các route được cấu hình sẽ có prompt là other static Để các host giữa các mạng có thể ping thấy nhau , ta phải dùng conduit command để thực hiện điều này : Pix(config)# conduit permit icmp any any Pix(config)# conduit permit tcp host 209.162.1.10 eq www any Pix(config)# conduit permit tcp host 209.162.1.9 eq www any Pix(config)# conduit permit tcp host 209.162.1.9 eq telnet any ð Tạo conduit để cho phép tất cả các host ở mạng outside (any) có thể truy cập web vào web server ở dmz và inside , có thể telnet vào mạng inside . Kiểm tra cấu hình conduit :
  2. Pix# sh conduit conduit permit tcp host 209.162.1.10 eq www any (hitcnt=0) conduit permit tcp host 209.162.1.9 eq www any (hitcnt=0) conduit permit tcp host 209.162.1.9 eq telnet any (hitcnt=1) conduit permit icmp any any (hitcnt=42) Pix(config)# ping 192.168.1.1 192.168.1.1 response received -- 0ms 192.168.1.1 response received -- 0ms 192.168.1.1 response received -- 0ms Tại command-prompt của PC , thực hiện ping : C:\> ping 209.162.1.2 Ping 209.162.1.2 with 32 bytes of data : Reply from 209.162.1.2 : bytes = 32 time 10.10.10.10 41: Outbound ICMP echo request (len 32 id 3 seq 13056) 10.10.10.10 > 209.162.1.9 > 209.162.1.2 42: Inbound ICMP echo reply (len 32 id 3 seq 13056) 209.162.1.2 > 209.162.1.9 > 10.10.10.10 C:\> ping 172.16.1.2 Ping 172.16.1.2 with 32 bytes of data : Reply from 172.16.1.2 : bytes = 32 time 10.10.10.10 45: Outbound ICMP echo request (len 32 id 3 seq 13568) 10.10.10.10 > 172.16.1.5 > 172.16.1.2 46: Inbound ICMP echo reply (len 32 id 3 seq 13568) 172.16.1.2 > 172.16.1.5 > 10.10.10.10
  3. 47: Outbound ICMP echo request (len 32 id 3 seq 13824) 10.10.10.10 > 172.16.1.5 > 172.16.1.2 48: Inbound ICMP echo reply (len 32 id 3 seq 13824) 172.16.1.2 > 172.16.1.5 > 10.10.10.10 49: Outbound ICMP echo request (len 32 id 3 seq 14080) 10.10.10.10 > 172.16.1.5 > 172.16.1.2 50: Inbound ICMP echo reply (len 32 id 3 seq 14080) 172.16.1.2 > 172.16.1.5 > 10.10.10.10 Kiểm tra quá trình translation : Pix(config)# show xlate 2 in use, 2 most used Global 172.16.1.5 Local 10.10.10.10 Global 209.162.1.9 Local 10.10.10.10 dmz#ping 172.16.1.5 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.5, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 100/180/200 ms 2530#ping 209.162.1.9 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 209.162.1.9, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 104/180/200 Kiểm tra các host inside có thể truy cập internet (mạng outside) Error! Bây giờ ta tạo một access-list cho outbound traffic như sau : - từ chối outbound web traffic - cho phép outbound traffic còn lại Cấu hình như sau : Tạo một access-list có tên là aclout . Pix(config)# access-list aclout deny tcp any any eq www Pix(config)#access-list aclout permit tcp host 10.10.10.10 host 172.16.1.2 eq www =>mặc dù không cần thiết nhưng ta vẫn cấu hình cho phép các host trong mạng inside được phép đi web đến dmz . Pix(config)# access-list aclout permit ip any any Pix# sh access-list aclout
  4. access-list aclout; 3 elements access-list aclout deny tcp any any eq www (hitcnt=6) access-list aclout permit tcp host 10.10.10.10 host 172.16.1.2 eq www (hitcnt=0) access-list aclout permit ip any any (hitcnt=45) Áp access-list aclout vào interface inside bằng lệnh access-group Pix(config)# access-group aclout in interface inside Kiểm tra : Error! ð từ PC không thể đi web ra mạng ngoài được . Sau khi hoàn tất , thực hiện lưu cấu hình vào flash : Pix(config)# write memory
Đồng bộ tài khoản